物联网(IoT)僵尸网络由Doctor Web(一家俄罗斯防病毒厂商)的安全专家在今年早些时候发现,在最新的活动中开始将攻击网站作为活动目标。
Linux.ProxyM是一款Linux恶意软件,它被用来在受感染的设备上通过SOCKS代理服务器创建一个代理网络,用于转发恶意流量,掩盖其真实来源。
根据Doctor Web的说法,Linux.ProxyM最初于今年2月被发现,在5月下旬其活动达到顶峰,到7月份感染Linux.ProxyM的设备数量已经达到了1万台。
Linux.ProxyM能够运行于基于x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和SPARC等不同体系结构的设备,这意味着它几乎可以感染任何Linux设备,包括路由器、机顶盒和其他类似的设备。
Doctor Web最初发现网络犯罪分子开始通过分发钓鱼电子邮件来传播Linux.ProxyM是在今年9月份,此类邮件每天的发送量都超过400封,通常以成人内容资源和金融服务为主题。
不过,这种活动只持续了很短的时间。在之后的活动中,网络犯罪分子开始使用物联网僵尸网络来分发这些钓鱼邮件,邮件的主题也进行了更改。
新的邮件以“DocuSign”的名义发送,这家公司提供电子签名技术和数字交易管理服务,以便于电子合同和签名文件的交换。
邮件包含了一个指向授权表单的伪造DocuSign网站的链接,网络犯罪分子利用这种模式来欺骗受害者输入其密码。然后,受害者将被重定向到真正的DocuSign授权页面。
在12月的活动中,网络犯罪分子开始使用Linux.ProxyM的代理服务器通过各种方法破解网站,包括SQL注入、XSS(跨站点脚本)和本地文件包含(LFI)。被攻击的网站包括游戏服务器、论坛和其他主题资源网站。
在12月7日,Doctor Web观察到Linux.ProxyM僵尸网络发起的攻击次数达到了2万次。而在大约一个月前,这些机器人每天发动的攻击次数接近4万次。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
